Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
Cybersécurité, IA

Immersive World : la création de malwares voleurs de mots de passe​ via l’IA

L’essor des acteurs de la menace sans connaissances préalables : la technique « Immersive World » facilite la création de malwares voleurs de mots de passe​.

Cato Networks a récemment publié son rapport 2025 Cato CTRL Threat Report, révélant une nouvelle technique de contournement des modèles de langage avancés, nommée « Immersive World ». Cette méthode permet à des individus sans expérience préalable en programmation de malwares d’exploiter des outils d’IA générative, tels que ChatGPT, Copilot et DeepSeek, pour développer des logiciels malveillants capables de dérober des identifiants de connexion depuis Google Chrome.

Cette découverte met en lumière une évolution inquiétante du paysage des cybermenaces, où la barrière à l’entrée pour la création de malwares est considérablement réduite grâce à l’utilisation détournée de l’intelligence artificielle.​

L’émergence des acteurs de la menace sans connaissances préalables

Traditionnellement, la création de logiciels malveillants nécessitait des compétences techniques approfondies en programmation et en cybersécurité. Cependant, avec l’avènement des modèles de langage avancés (LLM) tels que ChatGPT d’OpenAI, Copilot de Microsoft et DeepSeek, cette barrière s’estompe. La technique « Immersive World » exploitée par les chercheurs de Cato Networks démontre qu’il est possible de manipuler ces outils pour générer du code malveillant sans expertise préalable.​

La technique « Immersive World » en détail

La méthode « Immersive World » repose sur la création d’un univers fictif détaillé dans lequel les outils d’IA jouent des rôles spécifiques avec des tâches et des défis assignés. En utilisant cette ingénierie narrative, les chercheurs ont pu contourner les contrôles de sécurité intégrés des LLM et normaliser des opérations normalement restreintes. Par exemple, en assignant à l’IA le rôle d’un développeur dans un scénario fictif nécessitant la création d’un outil d’extraction de mots de passe pour Google Chrome, l’IA a généré le code correspondant, contournant ainsi ses propres restrictions de sécurité.​

Conséquences pour la cybersécurité

Cette technique abaisse significativement la barrière à l’entrée pour la création de malwares, permettant à des individus sans connaissances techniques approfondies de développer des logiciels malveillants sophistiqués. Cela pourrait entraîner une augmentation des attaques de type infostealer, où des identifiants de connexion sont volés pour accéder à des systèmes sensibles. Les entreprises doivent être conscientes de cette évolution et renforcer leurs stratégies de sécurité pour se protéger contre ces nouvelles menaces.​

« Immersive World » souligne la nécessité pour les organisations de revoir et d’adapter leurs stratégies de sécurité face à l’évolution rapide des menaces. L’utilisation détournée des outils d’IA générative pour la création de malwares par des acteurs sans connaissances préalables constitue une menace sérieuse.

Les progrès de l’intelligence artificielle (IA) ouvrent de nouvelles perspectives pour l’automatisation, mais également pour la cybercriminalité. Symantec a démontré que des agents IA modernes, comme Operator d’OpenAI, sont capables de mener des attaques complexes presque sans intervention humaine.

Un alerte lancée il y a plus d’un an !

Il y a un an, des experts mettaient déjà en garde contre l’utilisation de modèles de langage (LLM) par des cybercriminels pour rédiger des e-mails de phishing et du code malveillant. À l’époque, l’IA servait principalement d’outil d’assistance. Aujourd’hui, grâce à des agents avancés, la situation a changé. Ces outils peuvent non seulement générer du texte, mais aussi interagir avec des sites web, envoyer des e-mails et exécuter des scripts.

Symantec a testé la capacité d’un agent IA à mener une attaque avec un minimum de supervision humaine. L’agent devait identifier un employé, retrouver son adresse e-mail, rédiger un script PowerShell malveillant pour collecter des données système et l’envoyer via un e-mail crédible.

D’abord, Operator a refusé la tâche en invoquant des règles de sécurité. Cependant, une légère modification du contexte — affirmant que la cible avait autorisé l’envoi du mail — a suffi à contourner la restriction. L’agent a rapidement trouvé l’identité de la cible en analysant des sources ouvertes (site de l’entreprise, médias), puis a deviné l’adresse e-mail en s’appuyant sur des schémas de messagerie d’entreprise.

Après avoir consulté plusieurs ressources sur PowerShell, Operator a généré un script fonctionnel, capable de collecter des données et de les transmettre à l’attaquant. Enfin, l’agent a rédigé un e-mail convaincant signé par un faux employé, « Eric Hogan », et l’a envoyé sans déclencher d’alerte.

Symantec prévient que ces attaques automatisées pourraient bientôt devenir plus sophistiquées. Les criminels pourraient simplement commander une attaque à un agent IA, qui élaborerait une stratégie, produirait le code malveillant et s’infiltrerait dans le réseau cible. Cela abaisserait considérablement la barrière d’entrée pour les cybercriminels.

Entreprise, Linux

Microsoft coupe les ponts : Huawei bascule sur HarmonyOS et Linux

Fin mars 2025, un tournant majeur s’opère pour Huawei. La licence qui permettait au géant chinois d’équiper ses appareils du système d’exploitation Windows arrive à expiration.

Dès avril 2025, l’entreprise ne pourra plus commercialiser ses ordinateurs portables et autres terminaux avec l’OS de Microsoft. Ce bouleversement s’inscrit dans une stratégie plus large de Huawei, qui cherche à s’affranchir des technologies américaines en développant ses propres solutions logicielles et matérielles.

Cette transition, bien que soudaine, n’est pas une surprise. Dès septembre 2024, Huawei annonçait son intention de déployer HarmonyOS, son propre système d’exploitation, sur ses futures générations d’ordinateurs portables. Le PDG Yu Zhendong l’avait d’ailleurs confirmé : l’objectif est clair, éliminer totalement la dépendance aux composants et logiciels américains. Aujourd’hui, cette vision se concrétise avec l’arrivée de modèles fonctionnant sous des systèmes basés sur Linux.

L’expansion de HarmonyOS et des alternatives chinoises

Huawei n’a pas attendu la fin de sa licence avec Microsoft pour prendre les devants. Selon My Drivers, une publication technologique chinoise, la firme a déjà intégré des alternatives à Windows dans ses nouveaux ordinateurs portables de la série MateBook. Ces derniers, désormais équipés de systèmes Linux modifiés ou de HarmonyOS, seront commercialisés aussi bien en Chine qu’à l’international. La mise à jour des catalogues officiels de la marque reflète d’ailleurs cette transition.

L’entreprise ne se contente pas d’un simple remplacement de système d’exploitation. Elle adopte une approche plus globale en favorisant l’usage de composants entièrement conçus et fabriqués en Chine. Un modèle récemment dévoilé illustre cette tendance : équipé d’un OS issu de développeurs chinois et de composants nationaux, il incarne la volonté de Huawei de renforcer son indépendance technologique. Cette démarche est particulièrement marquée sur le marché intérieur, où les produits 100 % chinois se multiplient.

Un impact limité en Chine, des incertitudes à l’international

Si en Chine, l’abandon de Windows devrait avoir peu d’impact sur les ventes de Huawei, la situation pourrait être plus délicate à l’international. Les utilisateurs sont habitués aux solutions de Microsoft, et le passage à HarmonyOS ou Linux pourrait freiner l’adoption des nouveaux produits de la marque hors du territoire chinois. Cependant, Huawei mise sur l’attrait de son écosystème intégré et sur la compatibilité grandissante de ses logiciels avec les standards mondiaux pour convaincre.

Il reste un dernier frein, et pas des moindres ! Un produit 100% Chinois peut laisser craindre un espionnage 100% « made in China ». Les ordinateurs seront équipés du modèle IA DeepSeek. Il sera entièrement intégré et utilisant le processeur Kunpeng et le système PC Hongmeng comme puces et systèmes d’exploitation.

Cybersécurité, IA

Créer un inventaire des actifs d’IA : une nécessité stratégique pour la sécurité et la conformité

L’inventaire des actifs d’IA est bien plus qu’une simple liste d’outils. Il s’agit d’une démarche stratégique pour assurer la sécurité des données, la conformité réglementaire et la maîtrise des risques liés à l’IA.

Face à la montée en puissance de l’intelligence artificielle (IA), les entreprises doivent non seulement s’adapter à un écosystème technologique en constante évolution, mais aussi répondre aux défis sécuritaires et réglementaires qu’impose cette nouvelle réalité. Les outils d’IA non autorisés, souvent intégrés discrètement dans les processus internes, posent une menace directe à la sécurité des données et à la conformité des entreprises. Pour éviter un dérapage incontrôlé, la première étape essentielle est la création d’un inventaire complet des actifs d’IA. Cette démarche permet non seulement d’identifier les risques, mais aussi d’anticiper les besoins en matière de gouvernance et de sécurité.

L’inventaire des actifs d’IA, socle de la gouvernance de la sécurité

La création d’un inventaire des actifs d’IA ne relève plus d’une démarche volontaire, mais s’impose comme une obligation réglementaire. L’UE a franchi un cap avec l’entrée en vigueur de la loi sur l’IA en août 2024, imposant aux entreprises une cartographie détaillée des outils d’IA utilisés et une évaluation des risques associés. La norme ISO 42001 fournit un cadre de gestion, mettant l’accent sur la transparence et la traçabilité. Aux États-Unis, le cadre AI Risk Management Framework (AI RMF) du NIST exige que les entreprises identifient les risques liés à l’utilisation de l’IA et mettent en place une gestion adaptée.

L’inventaire devient la clé de voûte de la gouvernance. Sans une visibilité claire sur les outils d’IA en activité, les entreprises naviguent à l’aveugle. La diversité des systèmes d’IA utilisés, des modèles de langage (LLM) aux outils de traitement d’images, complexifie la tâche. Les entreprises doivent donc prioriser leurs efforts, en se concentrant sur les systèmes à haut risque, comme l’IA générative et les solutions d’analyse prédictive. La transparence devient un enjeu stratégique : savoir où et comment les outils d’IA sont utilisés permet de mieux gérer les risques et de renforcer la sécurité globale des données.

Créer un inventaire des actifs d’IA est devenu une exigence réglementaire dans de nombreuses juridictions. L’EU AI Act, la norme ISO 42001 et le cadre AI Risk Management Framework (AI RMF) du National Institute of Standards and Technology (NIST) aux États-Unis imposent désormais une obligation explicite de cartographier les technologies d’IA utilisées et d’évaluer leurs risques.

La législation européenne sur l’IA (EU AI Act), entrée en vigueur en août 2024, impose aux entreprises une obligation de recensement complet des technologies d’IA utilisées, avec une évaluation des risques associée. Ce cadre couvre presque tous les systèmes d’IA, y compris les modèles génératifs, les outils d’automatisation et les systèmes décisionnels.

De son côté, la norme ISO 42001 fournit un cadre de gestion des systèmes d’IA, insistant sur la transparence, la responsabilité et la traçabilité. Le cadre du NIST, bien que volontaire, exige dans sa fonction « MAP » que les entreprises identifient les risques liés à l’utilisation de l’IA.

Ces nouvelles règles montrent que l’inventaire des actifs d’IA n’est plus une simple formalité — il est devenu le socle de la gouvernance de la sécurité de l’IA.

L’IA fantôme, menace silencieuse et incontrôlée

La prolifération de l’IA non autorisée au sein des entreprises constitue une menace directe pour la sécurité des données. Le phénomène du « Shadow AI » illustre cette dérive : de nombreux employés utilisent des outils d’IA gratuits ou accessibles via des comptes personnels, échappant ainsi à la surveillance du service informatique. Selon un rapport de ZScaler publié en 2024, plus de 60 % des employés admettent utiliser des outils d’IA non validés par leur entreprise. Cette utilisation clandestine expose les données sensibles à des tiers, créant des failles de sécurité difficilement contrôlables.

DeepSeek, dont la popularité a explosé début 2024, est devenu le symbole de ce risque. Son mode de fonctionnement, basé sur le stockage de données dans le cloud, a suscité une controverse majeure. Les employés, en utilisant cet outil sans autorisation, ont exposé des informations confidentielles à des systèmes externes. L’IA fantôme agit comme un cheval de Troie : elle introduit des vulnérabilités sans que l’entreprise n’en ait conscience, augmentant le risque de fuite de données ou d’attaques ciblées.

Les responsables de la sécurité doivent agir en amont. Il ne s’agit pas seulement de surveiller les outils utilisés, mais d’anticiper leur impact. Les outils d’IA générative évoluent rapidement : un modèle jugé sûr aujourd’hui peut devenir une menace dès lors qu’il adopte une nouvelle fonction ou un nouveau mode de traitement des données. La clé réside dans une surveillance active et une réactivité immédiate face aux nouvelles configurations des outils d’IA.

Le défi de la cartographie et du suivi des actifs d’IA

Cartographier les actifs d’IA reste un défi complexe. Les méthodes traditionnelles de suivi se révèlent insuffisantes face à la vitesse d’adoption de l’IA. Le suivi basé sur les achats permet de contrôler l’introduction de nouveaux outils, mais ne détecte pas les mises à jour ou les fonctionnalités cachées. L’analyse des journaux réseau offre une visibilité partielle, mais sa mise en œuvre est chronophage et peu adaptée à un environnement de travail hybride. Les solutions de gestion des identités, comme OAuth, permettent de suivre certaines applications, mais restent inefficaces face aux outils d’IA accessibles en dehors des plateformes contrôlées.

Les courtiers d’accès sécurisé au cloud (CASB) apportent une visibilité sur les outils cloud, mais peinent à s’adapter à la diversité des systèmes utilisés. La gestion de la posture de sécurité du cloud (CSPM) permet de surveiller l’usage de l’IA dans les environnements cloud publics comme AWS ou Google Cloud, mais ne couvre pas les environnements internes. Les listes de contrôle existantes, quant à elles, sont souvent obsolètes face à la rapidité d’évolution des technologies d’IA. La multiplicité des outils et la diversité des plateformes compliquent la mise en place d’un suivi cohérent.

L’essor des solutions automatisées

Face à ces limites, l’industrie se tourne vers des solutions automatisées de gestion des actifs d’IA. L’intelligence artificielle elle-même devient un levier pour surveiller les activités liées à l’IA. Darktrace AI Guardian, dont le lancement est prévu début 2025, promet une surveillance en temps réel du trafic réseau, une détection automatique des outils d’IA non autorisés et une mise à jour dynamique de l’inventaire. Microsoft a déjà intégré un tableau de bord de suivi de l’IA dans ses services cloud en 2024, permettant aux entreprises d’identifier rapidement les outils utilisés par leurs employés.

Ces solutions automatisées offrent un avantage clé : elles s’adaptent à la rapidité d’évolution de l’IA. Une mise à jour du modèle ou une modification dans les conditions d’utilisation est immédiatement signalée. Cette réactivité permet de renforcer la sécurité des systèmes tout en assurant une gestion proactive de la conformité. Les outils automatisés permettent également une meilleure formation des employés : en identifiant les outils validés et sécurisés, les entreprises favorisent une adoption contrôlée de l’IA, limitant ainsi le recours à des solutions non autorisées.

Transformer une obligation réglementaire en avantage stratégique

La gestion des actifs d’IA ne doit pas être perçue comme une contrainte administrative, mais comme une opportunité stratégique. Les entreprises qui maîtrisent leur écosystème d’IA sont mieux placées pour guider l’innovation tout en sécurisant leurs opérations. L’inventaire des actifs d’IA permet d’identifier les besoins réels des employés, d’anticiper les failles de sécurité et de proposer des solutions conformes adaptées à chaque cas d’usage.

Google a montré la voie en 2024. Après avoir détecté une forte demande d’outils génératifs parmi ses employés, l’entreprise a rapidement déployé des solutions internes sécurisées. Ce mouvement stratégique a non seulement renforcé la sécurité des données, mais aussi amélioré la productivité. L’adoption contrôlée d’outils d’IA permet de créer une culture d’innovation tout en réduisant les risques liés à la Shadow AI.

Les entreprises doivent agir rapidement. La mise en place d’un inventaire d’actifs d’IA est le premier pas vers une gouvernance renforcée. Les solutions automatisées, la surveillance en temps réel et la formation des employés constituent les piliers d’une stratégie de gestion des risques adaptée à l’ère de l’IA. Les acteurs qui s’adaptent dès maintenant prendront une longueur d’avance dans cette nouvelle révolution technologique.

Six façons d’utiliser l’IA pour le suivi des actifs

  1. Suivi basé sur les achats : Cette méthode est efficace pour surveiller l’achat de nouveaux outils d’IA, mais elle reste insuffisante pour détecter l’ajout de capacités d’IA aux outils existants ou l’utilisation d’outils BYOT (Bring Your Own Tool) par les employés.

  2. Collecte manuelle des journaux : L’analyse du trafic réseau et des journaux permet de repérer des activités liées à l’IA, mais cette méthode est chronophage et offre une couverture limitée.

  3. Identité et authentification OAuth : L’examen des journaux d’accès à partir de plateformes comme Okta ou Entra permet de suivre certaines applications d’IA, mais uniquement si elles sont intégrées à ces services.

  4. Courtier d’accès sécurisé au cloud (CASB) et prévention des pertes de données (DLP) : Des solutions comme ZScaler et Netskope offrent une visibilité sur les outils d’IA utilisés dans le cloud, mais elles ont une capacité limitée à classifier précisément ces outils.

  5. Gestion de la posture de sécurité du cloud (CSPM) : Des outils comme Wiz permettent de surveiller l’usage de l’IA dans AWS et Google Cloud, mais ils ne couvrent pas les environnements sur site ou non cloud.

  6. Élargir les listes de contrôle existantes : La catégorisation des outils d’IA en fonction des risques permet d’améliorer la gouvernance, mais cette méthode peine à suivre le rythme rapide de l’évolution de l’IA.

Cybersécurité, Mise à jour, Patch

Un outil gratuit pour vaincre le ransomware Akira sur Linux

Un outil gratuit pour décrypter le ransomware Akira sur Linux grâce à la puissance des GPU.

Un chercheur en cybersécurité, Yohanes Nugroho, a développé un outil de décryptage gratuit permettant de vaincre le ransomware Akira sur Linux. Ce projet complexe a nécessité trois semaines de travail intensif, un investissement de 1 200 $ en ressources GPU, et une approche innovante basée sur la force brute pour récupérer les clés de chiffrement.

Une percée majeure dans la lutte contre Akira

Face à la menace persistante du ransomware Akira, une nouvelle avancée pourrait changer la donne. Yohanes Nugroho, expert en cybersécurité, a récemment publié un outil de décryptage gratuit capable de restaurer des fichiers chiffrés par ce malware ciblant les systèmes Linux. Le projet, initialement prévu pour durer une semaine, a finalement nécessité trois semaines de travail et 1 200 $ de ressources GPU en raison de la complexité inattendue du processus.

Akira est un ransomware redoutable, actif depuis la fin de 2023, qui chiffre les fichiers à l’aide de clés générées à partir de quatre horodatages précis à la nanoseconde. Grâce à une analyse approfondie des fichiers journaux et des métadonnées des fichiers, Nugroho a pu mettre au point une méthode permettant de contourner le chiffrement en exploitant cette faiblesse dans la génération des clés. Son outil repose sur la puissance des GPU pour effectuer une attaque par force brute, une méthode inhabituelle dans le domaine du décryptage.

« Akira génère des clés de chiffrement uniques pour chaque fichier en utilisant quatre moments précis à la nanoseconde. En utilisant une force brute GPU optimisée, nous avons pu retrouver ces clés et restaurer les fichiers sans payer de rançon. » – Yohanes Nugroho

La faille dans le chiffrement d’Akira

Le ransomware Akira utilise une méthode de chiffrement complexe basée sur la génération de clés uniques pour chaque fichier. Cette génération repose sur l’algorithme de hachage SHA-256, appliqué en 1 500 tours sur quatre horodatages distincts, mesurés à la nanoseconde près. Cette complexité rend le processus de déchiffrement extrêmement difficile, voire impossible avec des méthodes classiques.

Cependant, Nugroho a découvert une faille : l’utilisation de ces horodatages permet de recréer les clés de chiffrement par rétro-ingénierie. Les deux premiers et les deux derniers horodatages sont liés, ce qui a permis à Nugroho de restreindre le champ de recherche et d’augmenter la vitesse du processus de force brute.

Akira chiffre les fichiers en utilisant une combinaison de KCipher2 et Chacha8, des algorithmes de chiffrement réputés pour leur robustesse. Les clés sont ensuite chiffrées avec RSA-4096 et intégrées dans les fichiers. Cette double couche de sécurité rend normalement le décryptage très complexe. Cependant, en identifiant les plages de temps précises utilisées pour générer les clés, Nugroho a réussi à réduire considérablement la difficulté du processus.

« Le malware ne s’appuie pas sur un seul moment dans le temps, mais sur quatre moments distincts avec une précision à la nanoseconde. La corrélation entre ces moments permet de limiter le champ de recherche, rendant la force brute plus efficace. » – Yohanes Nugroho

La puissance des GPU au service de la cybersécurité

Face à la complexité du chiffrement, Nugroho a d’abord tenté d’utiliser des GPU locaux, mais la lenteur du processus l’a conduit à se tourner vers des solutions basées sur le cloud. Après avoir écarté Google Cloud en raison de son coût élevé, il a opté pour RunPod et Vast.ai, deux services offrant une puissance de calcul GPU à moindre coût.

Il a mobilisé 16 GPU RTX 4090, connus pour leur nombre élevé de cœurs CUDA, pour exécuter l’attaque par force brute. Ce choix stratégique a permis de ramener le temps de déchiffrement à 10 heures pour une plage de 4,5 millions de nanosecondes. Le coût de traitement pour cette plage s’élève à environ 261 $, ce qui, multiplié par le volume de fichiers à traiter, a porté le coût total du projet à 1 200 $.

L’utilisation de GPU haut de gamme a permis de traiter un volume de données important en un temps record. Ce succès démontre le potentiel des solutions de décryptage basées sur la force brute GPU dans la lutte contre les ransomwares modernes.

Le décryptage des fichiers chiffrés par Akira est désormais possible sans payer de rançon. Les entreprises et les utilisateurs touchés par ce ransomware peuvent utiliser l’outil de Nugroho pour restaurer leurs données en toute autonomie. Cette percée pourrait également servir de modèle pour lutter contre d’autres variantes de ransomware utilisant des techniques similaires.

Nugroho a précisé que le processus de déchiffrement pourrait encore être optimisé pour améliorer les performances. Actuellement, le temps de récupération dépend de la taille du volume de fichiers à traiter et de la précision des horodatages contenus dans les fichiers journaux.

Un avenir prometteur pour le décryptage des ransomwares ?

L’approche novatrice de Yohanes Nugroho ouvre la voie à de nouvelles stratégies de lutte contre les ransomwares. L’utilisation de la force brute par GPU, combinée à une analyse fine des mécanismes de génération des clés, pourrait inspirer d’autres chercheurs à développer des solutions similaires.

Akira reste une menace active, mais cette avancée donne un avantage considérable aux équipes de cybersécurité. Les ransomwares basés sur des mécanismes de chiffrement temporel pourraient désormais être contournés grâce à une combinaison de rétro-ingénierie et de puissance GPU.

En partageant gratuitement son outil, Nugroho offre une ressource précieuse à la communauté de la cybersécurité et aux victimes de ransomware. Cette initiative illustre l’importance de l’innovation et de la collaboration dans la lutte contre les cybermenaces modernes.

Cybersécurité, Securite informatique

Mora_001 : un nouveau ransomware exploite des failles Fortinet

Une nouvelle opération de ransomware nommée Mora_001 exploite deux vulnérabilités critiques dans les pare-feux Fortinet. Cette menace, liée au groupe LockBit, met en danger des infrastructures sensibles malgré la publication de correctifs.

Depuis le début de l’année, une nouvelle campagne de ransomware appelée Mora_001 inquiète les experts en cybersécurité. Le groupe exploite deux vulnérabilités majeures dans les pare-feux Fortinet, identifiées sous CVE-2024-55591 et CVE-2025-24472. La Cybersecurity and Infrastructure Security Agency (CISA) a réagi rapidement en janvier, ordonnant aux agences fédérales de corriger la première faille dans un délai d’une semaine seulement — un des délais les plus courts jamais imposés. Malgré la publication des correctifs, les attaques se multiplient. Des chercheurs ont découvert que Mora_001 utilise un ransomware baptisé SuperBlack, une variante modifiée de LockBit 3.0. Ce groupe semble maîtriser les tactiques héritées de LockBit tout en adaptant ses méthodes pour contourner les dispositifs de sécurité.

Une exploitation des failles fortinet

En janvier, la CISA a ordonné une correction immédiate de la faille CVE-2024-55591 après avoir constaté son exploitation active dans des environnements critiques. Fortinet a rapidement confirmé la vulnérabilité, avant de mettre à jour son alerte en y ajoutant CVE-2025-24472.

Les intrusions ont commencé à la fin du mois de janvier, avec une intensification notable à partir du 2 février. Mora_001 cible principalement les interfaces de gestion des pare-feux Fortigate visibles depuis internet. Une fois le système compromis, le ransomware SuperBlack est rapidement déployé.

Le groupe a adopté une stratégie d’attaque en plusieurs étapes : infiltration par exploitation des failles, prise de contrôle des pare-feux, chiffrement des fichiers critiques et exfiltration des données. Les attaquants laissent ensuite une note de rançon, exigeant une somme importante pour restaurer l’accès aux systèmes. Le groupe exploite ces failles depuis fin janvier. Les attaques ciblent des organisations qui n’ont pas appliqué les mises à jour de sécurité ou qui présentent des configurations de pare-feu vulnérables.

« Mora_001 exploite une combinaison de méthodes opportunistes et de tactiques sophistiquées héritées de LockBit. »

SuperBlack : une variante de LockBit 3.0

Le ransomware SuperBlack déployé par Mora_001 est directement inspiré de LockBit 3.0 (aussi appelé LockBit Black). Des similitudes dans la structure du chiffrement, le processus d’exfiltration des données et le contenu de la note de rançon.

La principale différence réside dans la personnalisation du code. Mora_001 a retiré toutes les références à LockBit dans la note de rançon. Les attaquants utilisent également un exécutable d’exfiltration de données sur mesure, conçu pour automatiser le transfert d’informations vers des serveurs externes.

La fuite du builder LockBit 3.0 en 2022 a permis à plusieurs groupes cybercriminels de développer leurs propres variantes de ransomware. Mora_001 semble avoir intégré des éléments techniques issus de LockBit, tout en adoptant des pratiques utilisées par d’autres groupes comme BlackCat/ALPHV.

Les méthodes employées par Mora_001 montrent une capacité d’adaptation impressionnante. Les attaquants utilisent des techniques connues tout en introduisant de nouvelles méthodes d’infiltration. Cette flexibilité rend les détections traditionnelles plus difficiles.

« Le ransomware SuperBlack combine la puissance du chiffrement de LockBit avec une nouvelle approche d’exfiltration de données. »

Des liens avec LockBit

Mora_001 ne cache pas son héritage. Les experts ont identifié plusieurs indices techniques reliant le groupe à l’écosystème LockBit. Le code du ransomware, le modèle de chiffrement et la structure des notes de rançon rappellent fortement LockBit 3.0.

Les chercheurs de Forescout estiment que Mora_001 pourrait être une cellule indépendante affiliée à LockBit, ou un groupe utilisant simplement le code du builder LockBit 3.0. L’analyse des communications entre les attaquants montre également une proximité avec des canaux utilisés par LockBit.

L’adoption de tactiques utilisées par BlackCat/ALPHV renforce la thèse d’une coopération ou d’un échange de pratiques entre ces groupes. Cette convergence des méthodes complique la réponse des équipes de cybersécurité.

Mora_001 exploite d’abord une vulnérabilité dans le pare-feu Fortinet pour obtenir un accès initial. Une fois l’accès établi, le ransomware SuperBlack est déployé. Le chiffrement des fichiers est rapide, souvent terminé en quelques minutes. Les attaquants laissent une note de rançon personnalisée et lancent le processus d’exfiltration des données vers des serveurs externes.

L’exécutable utilisé pour l’exfiltration est difficile à détecter car il masque son activité en utilisant des processus légitimes du système. Les attaquants suppriment également les journaux de sécurité pour compliquer la traçabilité. Le groupe utilise des techniques d’accès similaires à celles de LockBit, mais avec une exécution plus rapide. L’infiltration initiale est souvent indétectable jusqu’au déclenchement du processus de chiffrement.

Une menace persistante

Malgré la publication des correctifs par Fortinet, les attaques se poursuivent. Certaines organisations n’ont pas encore appliqué les mises à jour ou présentent des failles de configuration dans leurs pare-feux. DataSecurityBreach.fr recommande une correction immédiate des vulnérabilités et un renforcement des configurations de sécurité. La surveillance des accès réseau et la limitation des connexions aux interfaces de gestion sont des mesures essentielles pour réduire le risque d’attaque.

Les experts s’attendent à ce que Mora_001 adapte encore son mode opératoire dans les mois à venir. Le succès initial de cette campagne pourrait encourager d’autres groupes à adopter des tactiques similaires. Dernier point, alors que plusieurs membres importants de LockBit, comme l’un des administrateurs extradé aux USA en mars 2025, l’ombre de LockBit continue de roder sous d’autres formes !

Cybersécurité, Justice

La cybercriminalité en France en 2024 : analyse des 348 000 infractions enregistrées

En 2024, la cybercriminalité en France a atteint un niveau alarmant avec 348 000 infractions enregistrées. Les atteintes aux biens, aux personnes et aux institutions progressent.

La cybercriminalité continue de croître en France. En 2024, les services de sécurité ont recensé 348 000 crimes et délits liés au numérique, confirmant une tendance préoccupante. Si les atteintes aux biens numériques restent majoritaires, les infractions visant les personnes, les institutions et les législations spécifiques au numérique enregistrent une forte hausse. Le profil des victimes révèle des disparités notables : les femmes sont plus souvent ciblées par des atteintes aux personnes, tandis que les hommes sont davantage concernés par les infractions liées aux biens. Le recours à la plateforme Thésée pour signaler les escroqueries numériques se développe, traduisant une prise de conscience croissante du phénomène. Cette analyse met en lumière la nécessité d’adapter les dispositifs de prévention et de répression face à une cybercriminalité qui se complexifie.

Les atteintes numériques aux biens : une baisse légère mais une menace persistante

En 2024, les atteintes numériques aux biens restent la catégorie d’infractions la plus fréquente, représentant 226 300 cas. Ce chiffre marque une légère baisse de 1 % par rapport à 2023, signalant une stabilisation relative après plusieurs années de hausse.

Parmi ces infractions :

  • 50 800 plaintes ont été déposées via la plateforme Thésée, dédiée aux escroqueries numériques.
  • Les atteintes aux biens numériques incluent le vol de données bancaires, la fraude en ligne, le piratage de comptes, ainsi que les arnaques à la fausse identité.

 « 50 800 escroqueries numériques signalées via Thésée en 2024, confirmant l’ampleur du phénomène. »

Bien que la tendance globale soit à la baisse, la menace reste préoccupante en raison de la sophistication croissante des techniques utilisées par les cybercriminels. L’augmentation des méthodes de phishing (hameçonnage) et des ransomwares (logiciels de rançon) illustre cette adaptation constante des fraudeurs.

Les atteintes numériques aux personnes : une hausse inquiétante

En 2024, les atteintes numériques aux personnes ont connu une augmentation marquée de 7 %, atteignant 103 300 infractions. Ce chiffre reflète la montée des cyberharcèlements, des usurpations d’identité et des atteintes à la vie privée.

Les victimes sont majoritairement des femmes :

  • 66 % des victimes majeures sont des femmes.
  • 70 % des victimes mineures sont également des filles.

Ce déséquilibre souligne la vulnérabilité accrue des femmes face à certaines formes de violence numérique, notamment le revenge porn (diffusion non consentie d’images intimes) et le cyberharcèlement sexuel.

« Deux tiers des victimes d’atteintes numériques aux personnes sont des femmes, révélant une vulnérabilité spécifique. »

La progression constante des cyberattaques ciblant les individus appelle une réponse renforcée, notamment à travers une sensibilisation accrue des jeunes publics et un accompagnement juridique adapté.

Service de Veille ZATAZ – 96% de satisfaction

Les atteintes numériques aux institutions et aux législations spécifiques : une croissance rapide

Atteintes numériques aux institutions

Les attaques visant les institutions (administrations, entreprises publiques, collectivités) ont également progressé de 7 % en 2024, avec 1 700 infractions recensées.

  • Les attaques par déni de service (DDoS) et les intrusions dans les réseaux informatiques sont les techniques les plus employées.
  • Les attaques ayant pour objectif de déstabiliser les services publics ou de voler des données sensibles sont en augmentation.

Atteintes aux législations spécifiques

Les infractions liées aux législations numériques (non-respect du RGPD, violation des droits d’auteur, contenus illicites) progressent plus rapidement, avec une hausse de 10 % en 2024 pour atteindre 1 500 infractions.

  • La forte augmentation du nombre de personnes mises en cause pour ce type d’infractions (+41 %) illustre la complexité croissante des litiges numériques.
  • Les sanctions liées aux infractions numériques sont également en augmentation, traduisant une volonté des autorités de renforcer la réponse judiciaire face à ces délits.

Le profil des auteurs : des tendances qui se confirment

Le nombre de personnes mises en cause pour des infractions numériques progresse également :

  • +3 % pour les atteintes numériques aux biens.
  • +6 % pour les atteintes numériques aux personnes.
  • +14 % pour les atteintes numériques aux institutions (contre +30 % sur la période 2016-2023).
  • +41 % pour les infractions aux législations numériques (contre +2 % sur la période 2016-2023).

Cette hausse rapide du nombre de mises en cause montre une professionnalisation des cybercriminels, souvent organisés en réseaux. Les atteintes directement dirigées contre les infrastructures numériques (piratage, virus, attaques DDoS) ont reculé de 4 % en 2024, avec 17 100 infractions recensées. Cette baisse pourrait s’expliquer par le renforcement des dispositifs de cybersécurité déployés par les institutions publiques et les grandes entreprises. Cependant, les cybercriminels adaptent constamment leurs méthodes, rendant cette baisse potentiellement temporaire.

Type d’atteinte Nombre d’infractions (2024) Évolution par rapport à 2023 Nombre de mises en cause (2024) Évolution des mises en cause
Atteintes aux biens 226 300 -1 % +3 % Stabilité
Atteintes aux personnes 103 300 +7 % +6 % Hausse constante
Atteintes aux institutions 1 700 +7 % +14 % Ralentissement
Atteintes aux législations spécifiques 1 500 +10 % +41 % Forte hausse
ASTAD 17 100 -4 % Non communiqué

Pour rester informé des dernières menaces numériques et des bonnes pratiques de sécurité, abonnez-vous à notre newsletter cyber et suivez-nous sur WhatsApp.

Cybersécurité, IA

DeepSeek : 12 000 Clés API Exposées — L’IA, nouvelle faille de sécurité ?

Une récente analyse a révélé qu’environ 12 000 clés API, mots de passe et jetons d’authentification ont été accidentellement exposés lors de l’entraînement du modèle d’IA de DeepSeek sur des données accessibles en ligne. Cette fuite met en évidence les risques liés à l’utilisation de données publiques pour l’entraînement des modèles d’intelligence artificielle (IA).

Une fuite de grande ampleur

L’incident concerne un jeu de données issu de Common Crawl, une bibliothèque publique qui archive des copies de pages web du monde entier. En décembre 2024, une analyse de ce jeu de données, représentant 400 téraoctets et comprenant 47,5 millions de sites et 2,67 milliards de pages, a permis d’identifier une quantité alarmante d’informations sensibles.

Les chercheurs ont découvert près de 12 000 clés API et informations d’authentification valides. Ces clés donnaient accès à des services critiques comme Amazon Web Services (AWS), Slack et Mailchimp. Une partie des informations trouvées était directement intégrée dans le code source des pages HTML, exposée sans aucune protection.

Un cas frappant concerne une clé API de WalkScore, retrouvée 57 029 fois sur 1 871 sous-domaines différents. Cette diffusion massive d’une seule clé démontre le manque de contrôle dans la gestion des informations sensibles par certaines entreprises.

Une mauvaise gestion des clés API

L’analyse a montré que 63 % des clés d’accès étaient réutilisées dans plusieurs environnements, augmentant considérablement le risque d’attaques en cascade. Si une clé compromise est utilisée sur plusieurs services, un attaquant pourrait exploiter cette faille pour pénétrer plusieurs systèmes simultanément.

Le cas de Mailchimp est particulièrement préoccupant : plus de 1 500 clés API ont été retrouvées dans le jeu de données, directement accessibles dans le code côté client. Une clé Mailchimp exposée pourrait permettre à un pirate d’envoyer des emails de phishing depuis le compte légitime d’une entreprise, augmentant ainsi le taux de réussite des attaques.

Certaines pages web contenaient même des informations de connexion root (administrateur), offrant potentiellement à un attaquant un contrôle total sur le système cible. Une telle situation pourrait entraîner des conséquences dévastatrices, comme la perte de contrôle d’une infrastructure critique.

Le problème structurel de l’entraînement des modèles d’IA

Ce type de fuite met en lumière une faille structurelle dans le développement des modèles d’IA. Les modèles comme DeepSeek sont entraînés sur de vastes ensembles de données issues d’internet, incluant des bases de code, des forums de développeurs et des bases de données publiques. Ces ensembles de données contiennent souvent, par négligence, des informations sensibles comme des clés API ou des mots de passe.

Lorsque ces modèles sont entraînés sur des données contenant des failles de sécurité, ils peuvent reproduire ces vulnérabilités dans le code généré. Certains modèles de langage, comme GitHub Copilot, sont capables de suggérer des clés API ou des mots de passe dans le code généré, simplement parce qu’ils ont été entraînés sur des données comportant ce type d’information.

Cette capacité des modèles d’IA à « imiter » les failles de sécurité pose un défi majeur. Si un modèle reproduit ces vulnérabilités dans un code déployé en production, le risque de voir des attaques ciblées se multiplier devient réel.

Un risque de propagation des failles

L’absorption de données vulnérables par des modèles d’IA soulève le risque d’une propagation des failles à grande échelle. Si un modèle d’IA intègre des clés API ou des mots de passe dans le code qu’il génère, les conséquences pourraient être catastrophiques. Un attaquant pourrait alors exploiter ce code vulnérable pour infiltrer plusieurs systèmes, ouvrant la voie à des attaques en cascade.

Un modèle d’IA entraîné sur des données contenant des failles pourrait également influencer les développeurs à adopter des pratiques risquées, simplement en générant du code qui reproduit ces vulnérabilités.

Cyber-attaque, Cybersécurité

Sécurité électorale : le rôle de la CISA fragilisé par le retrait du soutien fédéral

La CISA a terminé son examen interne sur la sécurité électorale, mais refuse de rendre ses conclusions publiques. Cette décision suscite des inquiétudes parmi les responsables locaux qui craignent une fragilisation des infrastructures électorales face aux cybermenaces.

L’Agence de cybersécurité et de sécurité des infrastructures (CISA) a récemment terminé un examen interne sur la sécurité électorale. Cependant, elle a décidé de ne pas publier les résultats, invoquant la nature confidentielle du document. Cette décision intervient dans un contexte de tension croissante, alors que le ministère de la Sécurité intérieure (DHS) a récemment mis fin au financement du Centre d’analyse et de partage d’informations sur l’infrastructure électorale (EI-ISAC), géré par le Center for Internet Security (CIS). Cette coupure budgétaire prive de nombreux États et collectivités locales de services essentiels en matière de cybersécurité, augmentant ainsi leur vulnérabilité face aux menaces potentielles. Les responsables électoraux locaux s’inquiètent du manque de soutien fédéral à l’approche des prochaines élections, ce qui pourrait compromettre la sécurité et l’intégrité du processus démocratique.

L’Agence de cybersécurité et de sécurité des infrastructures (CISA) a récemment terminé une évaluation interne sur la sécurité électorale, mais a choisi de ne pas en dévoiler les conclusions. Cette décision, confirmée cette semaine par un porte-parole de l’agence, soulève des inquiétudes profondes chez les responsables électoraux à travers le pays. Alors que le paysage électoral américain est marqué par une augmentation constante des menaces cybernétiques, la décision de la CISA de conserver cette évaluation comme un document confidentiel est perçue par beaucoup comme un manque de transparence qui pourrait affaiblir la capacité des juridictions locales à se défendre contre d’éventuelles attaques.

Un porte-parole de la CISA a déclaré que ce rapport est destiné à orienter les futures stratégies de l’agence en matière de protection des infrastructures critiques, mais qu’il ne sera pas rendu public. Cette déclaration a immédiatement suscité une réaction de la part des responsables électoraux et des experts en cybersécurité, qui estiment que le manque de transparence pourrait avoir des conséquences graves à l’approche des élections.

Tim Harper, analyste politique senior pour le Centre pour la démocratie et la technologie, a critiqué cette décision en affirmant que sans un accès clair aux résultats de cette évaluation, les responsables électoraux ne sauront pas quelles menaces spécifiques sont susceptibles de peser sur eux ni quelles stratégies de défense adopter. Selon lui, la CISA joue un rôle central dans la protection du processus démocratique, et le fait de priver les administrations locales d’informations cruciales pourrait nuire à la sécurité globale des élections.

La décision de la CISA de garder ces conclusions secrètes intervient dans un contexte particulièrement délicat. Les menaces contre les infrastructures électorales ont augmenté de manière significative au cours des quatre dernières années, avec une multiplication des cyberattaques, des campagnes de désinformation et des tentatives d’influence étrangère. Les juridictions locales, qui manquent souvent de ressources techniques et de personnel spécialisé, comptaient sur l’expertise et le soutien logistique de la CISA pour combler ces lacunes. Cette absence de transparence risque de creuser un fossé supplémentaire entre le gouvernement fédéral et les administrations locales, alors que la coopération entre ces deux niveaux est cruciale pour assurer la sécurité du processus électoral.

Le retrait du soutien fédéral au CIS met en péril la sécurité des élections

La fin de la coopération entre le ministère de la Sécurité intérieure (DHS) et le Center for Internet Security (CIS) a accentué la vulnérabilité des infrastructures électorales. Le CIS gérait jusqu’ici le Centre d’analyse et de partage d’informations sur l’infrastructure électorale (EI-ISAC), un programme essentiel de surveillance et de réponse aux cyberattaques. Depuis sa création en 2018, l’EI-ISAC fournissait un soutien technique de premier plan aux juridictions électorales locales, notamment grâce à la mise en place des capteurs Albert, des dispositifs capables de détecter les tentatives d’intrusion en temps réel.

La décision du DHS de mettre fin au financement du CIS a été officialisée dans une note interne datée du 14 février. Selon ce document, le département estimait que l’EI-ISAC ne correspondait plus aux objectifs stratégiques du DHS. Cette rupture de financement a eu un effet immédiat : la majorité des États sont désormais interdits, pour des raisons légales, de continuer à utiliser les services de l’EI-ISAC. Cette situation place les autorités locales dans une position délicate, les obligeant à chercher des solutions alternatives souvent plus coûteuses et moins fiables.

Scott McDonell, greffier du comté de Dane dans le Wisconsin, a exprimé sa frustration face à cette situation. Il a expliqué que son comté s’appuyait fortement sur le capteur Albert fourni par le CIS pour surveiller son réseau informatique en continu. Ce dispositif permettait de détecter immédiatement toute tentative d’intrusion et de lancer une réponse rapide pour limiter les dégâts. Désormais privé de ce soutien, McDonell envisage de faire appel à un fournisseur privé pour remplacer le capteur Albert, mais le coût de cette alternative représente un défi budgétaire majeur.

Le problème ne se limite pas à la cybersécurité. Le CIS fournissait également une assistance technique précieuse aux responsables électoraux, en organisant des sessions de formation et en partageant des renseignements actualisés sur les menaces en cours. Wesley Wilcox, superviseur des élections dans le comté de Marion en Floride, a rappelé que l’EI-ISAC jouait un rôle essentiel en créant une « salle de situation » qui permettait de coordonner la réponse des différentes juridictions en cas d’attaque à grande échelle. La fin de ce soutien stratégique laisse un vide difficile à combler, surtout à l’approche des élections.

Ce retrait du soutien fédéral risque également d’exacerber les inégalités entre les juridictions électorales. Les grandes villes et les États les mieux financés pourront sans doute trouver des solutions alternatives, mais les comtés ruraux et les petites municipalités, qui dépendent largement de l’aide fédérale, risquent de se retrouver sans défense face à une menace grandissante. Le modèle de sécurité électorale américain, basé sur une coopération entre le gouvernement fédéral et les administrations locales, est désormais remis en question.

Une situation critique à l’approche des élections ?

La perte de soutien fédéral survient à un moment particulièrement critique. Les menaces pesant sur les infrastructures électorales américaines sont en constante évolution. Les cyberattaques sont de plus en plus sophistiquées et ciblées. Les services de renseignement américains ont déjà signalé une augmentation des tentatives d’ingérence étrangère dans le processus électoral, et les attaques par rançongiciel contre les systèmes informatiques locaux sont devenues monnaie courante.

L’absence de soutien fédéral pourrait également nuire à la capacité des juridictions locales à répondre efficacement aux menaces physiques. La CISA avait joué un rôle clé ces dernières années en aidant les autorités locales à renforcer la sécurité physique des bureaux de vote et en formant le personnel électoral à gérer les situations de crise. En l’absence de ces ressources, les administrations locales risquent de se retrouver mal préparées face à une situation d’urgence.

Tim Harper a mis en garde contre le risque d’une réaction en chaîne : si une attaque venait à perturber le processus électoral dans une juridiction locale, le manque de soutien technique et logistique pourrait rapidement se transformer en une crise nationale. Selon lui, la transparence est la clé pour éviter ce scénario. Il exhorte la CISA à publier son évaluation interne et à rétablir un dialogue ouvert avec les responsables électoraux.

La pression monte également du côté des associations professionnelles. Le mois dernier, l’Association nationale des secrétaires d’État a adressé une lettre à la secrétaire du DHS, Kristi Noem, pour lui demander de rétablir le financement du CIS et de maintenir le soutien technique aux juridictions locales. Les responsables électoraux estiment que le gouvernement fédéral a une responsabilité directe dans la protection du processus démocratique, et que priver les juridictions locales de ce soutien revient à affaiblir la résilience du système électoral dans son ensemble.

La sécurité des élections américaines repose sur une coopération étroite entre le gouvernement fédéral, les États et les autorités locales. Le retrait du soutien fédéral et le manque de transparence de la CISA créent un climat d’incertitude qui pourrait avoir des répercussions profondes sur la confiance des électeurs. Si ces problèmes ne sont pas rapidement résolus, les prochaines élections pourraient se dérouler dans un contexte de vulnérabilité accrue, avec un risque réel d’ingérence et de perturbation du processus électoral.

Le retrait du soutien fédéral à la cybersécurité électorale laisse les juridictions locales vulnérables à des attaques sophistiquées et à une désinformation croissante.

La décision de la CISA de garder son rapport interne confidentiel prive les responsables électoraux de renseignements stratégiques essentiels pour assurer la sécurité des élections.

Cybersécurité, Entreprise

Arnaque au faux ransomware : des lettres physiques ciblent les cadres dirigeants​

Des escrocs envoient des lettres physiques à des cadres dirigeants, prétendant appartenir au groupe de ransomware BianLian, pour extorquer des rançons allant jusqu’à 500 000 dollars.​

Une nouvelle escroquerie cible les cadres dirigeants en leur envoyant des lettres physiques prétendant provenir du groupe de ransomware BianLian. Ces lettres affirment que des données sensibles ont été volées et menacent de les publier si une rançon, payable en Bitcoin, n’est pas versée dans les dix jours. Les montants exigés varient entre 250 000 et 500 000 dollars. Les autorités américaines, notamment le FBI et la Cybersecurity and Infrastructure Security Agency (CISA), alertent sur cette menace et recommandent aux entreprises de rester vigilantes face à cette tentative d’extorsion.​

Un mode opératoire inédit

Contrairement aux méthodes traditionnelles des cybercriminels qui privilégient les courriels ou les messages électroniques pour leurs tentatives d’extorsion, cette arnaque se distingue par l’utilisation de lettres physiques envoyées par la poste. Les enveloppes, marquées « Time Sensitive Read Immediately » (Lecture urgente), sont adressées directement aux cadres supérieurs, souvent à leurs domiciles personnels ou professionnels. Elles contiennent une lettre prétendant que le groupe « BianLian » a infiltré le réseau de l’organisation et a dérobé des milliers de fichiers sensibles. La menace est claire : si une rançon n’est pas payée en Bitcoin dans un délai de dix jours, les données seront publiées sur des sites de fuite associés à BianLian. ​

Des indices révélateurs d’une escroquerie

Plusieurs éléments laissent penser que ces lettres sont l’œuvre d’escrocs usurpant l’identité du véritable groupe BianLian. Tout d’abord, les lettres contiennent une adresse de retour basée à Boston, Massachusetts, ce qui est inhabituel pour un groupe de ransomware généralement associé à des acteurs internationaux. De plus, aucune preuve concrète de vol de données n’est fournie dans les lettres, et aucun moyen de contacter les auteurs pour négocier n’est mentionné, ce qui est contraire aux pratiques habituelles des groupes de ransomware. Les autorités n’ont pas identifié de lien entre les expéditeurs de ces lettres et le groupe BianLian connu. ​

Cibles privilégiées et montants exigés

Les lettres ont principalement été envoyées à des cadres du secteur de la santé aux États-Unis, avec des demandes de rançon variant entre 150 000 et 500 000 dollars. Dans certains cas, les lettres incluent un mot de passe compromis dans la section « How did this happen? » (Comment cela est-il arrivé ?), probablement pour ajouter de la crédibilité à leur revendication. Cependant, aucune activité indicative d’une intrusion par ransomware n’a été détectée dans les organisations ciblées, ce qui suggère que cette campagne vise à exploiter la peur pour inciter les organisations à payer une rançon pour une intrusion qui n’a jamais eu lieu. ​

Les lettres contiennent une adresse de retour basée à Boston, Massachusetts, ce qui est inhabituel pour un groupe de ransomware généralement associé à des acteurs internationaux.​

Recommandations des autorités

Il est recommandé aux entreprises de prendre les mesures suivantes pour se protéger contre cette escroquerie :​

Sensibilisation interne : Informer les cadres et les employés de l’existence de cette arnaque afin qu’ils soient vigilants s’ils reçoivent de telles lettres.​

Vérification des systèmes : S’assurer que les défenses du réseau sont à jour et qu’aucune activité malveillante n’est en cours.​

Signalement : En cas de réception d’une telle lettre, contacter immédiatement les autorités de votre pays (Police Nationale, Etc.).​

Les autorités insistent sur l’importance de ne pas céder à la panique et de ne pas effectuer de paiement sans avoir vérifié la véracité des allégations. Il est essentiel de suivre les protocoles de réponse aux incidents et de collaborer avec les forces de l’ordre pour gérer la situation de manière appropriée. ​

Le véritable groupe BianLian

Le groupe BianLian est un développeur de ransomware et un groupe cybercriminel spécialisé dans l’extorsion de données, probablement basé en Russie. Depuis juin 2022, le FBI a observé que le groupe BianLian a affecté des organisations dans plusieurs secteurs d’infrastructures critiques aux États-Unis.

En Australie, l’ACSC a observé que le groupe BianLian cible principalement des entreprises privées, y compris une organisation d’infrastructure critique. Le groupe BianLian employait initialement un modèle de double extorsion dans lequel ils exfiltraient des fichiers financiers, clients, commerciaux, techniques et personnels à des fins de levier et chiffraient les systèmes des victimes. En 2023, le FBI a observé que le groupe BianLian s’est principalement orienté vers l’extorsion basée sur l’exfiltration, laissant les systèmes des victimes intacts. ​

Cette nouvelle méthode d’escroquerie souligne l’ingéniosité des cybercriminels pour exploiter la peur et l’urgence chez leurs victimes. Le Social Engineering (Ingénierie sociale), une méthode qui est vieille comme le monde est plus efficace encore grâce au numérique. Il est crucial pour les organisations de rester informées des menaces émergentes et de renforcer les protocoles de sécurité. La vigilance, la sensibilisation et la collaboration avec les autorités sont essentielles pour contrer ces tentatives d’extorsion.

Cybersécurité, Mise à jour, Patch

vulnérabilité initialement localisée, désormais mondiale !

Une vulnérabilité critique affectant les scripts PHP, connue sous le nom de CVE-2024-4577, est devenue une menace à l’échelle mondiale, obligeant les défenseurs de la cybersécurité à agir rapidement. Découverte initialement dans le cadre d’attaques ciblant des organisations japonaises, cette faille est désormais exploitée dans plusieurs régions du monde, ont averti les experts en cybersécurité de GreyNoise et Cisco Talos.

Une vulnérabilité initialement localisée, désormais mondiale

La faille CVE-2024-4577 affecte une configuration spécifique appelée PHP-CGI, utilisée pour exécuter des scripts PHP sur des serveurs Web. Détectée pour la première fois au Japon en janvier 2025, elle a été rapidement exploitée par des attaquants cherchant à voler des identifiants d’accès et à établir une présence persistante dans les systèmes compromis.

Dans un rapport publié jeudi, l’équipe de Cisco Talos a révélé que les attaques initiales visaient principalement des organisations japonaises. L’objectif apparent des attaquants était non seulement de voler des identifiants d’accès, mais aussi de s’implanter durablement dans les systèmes ciblés, ouvrant la voie à de futures intrusions et compromissions.

Cependant, ce qui semblait être une campagne de piratage localisée s’est rapidement transformé en une menace mondiale. Vendredi, GreyNoise, une société spécialisée dans le renseignement sur les menaces, a publié un rapport alarmant indiquant que l’exploitation de cette faille s’est étendue à d’autres régions du globe. Des tentatives d’attaques ont été détectées aux États-Unis, à Singapour, au Japon et dans plusieurs autres pays tout au long du mois de janvier 2025.

Un correctif disponible, mais une menace persistante

Le correctif pour cette vulnérabilité a été publié à l’été 2024, mais de nombreuses entreprises n’ont pas encore mis à jour leurs systèmes, laissant un large éventail de cibles potentielles à la merci des attaquants.

La faille CVE-2024-4577 permet une exécution de code à distance (RCE), ce qui signifie que les pirates peuvent prendre le contrôle d’un serveur vulnérable, exécuter des commandes arbitraires et, potentiellement, compromettre l’ensemble du réseau.

GreyNoise a identifié 79 méthodes connues pour exploiter cette faille, soulignant la complexité et la diversité des vecteurs d’attaque. Les chercheurs ont également détecté une augmentation des tentatives d’attaques utilisant cette faille dans le cadre de campagnes coordonnées.

« L’ampleur de l’exploitation de CVE-2024-4577 dépasse de loin nos prévisions initiales », a déclaré un chercheur de GreyNoise. « Les attaquants utilisent des outils sophistiqués, y compris des cadres d’attaque avancés et des serveurs de commande et de contrôle (C2), ce qui laisse penser qu’il s’agit d’une campagne bien organisée. »

Une menace bien plus complexe qu’un simple vol d’identifiants

Selon Cisco Talos, l’attaquant à l’origine des premières attaques au Japon utilisait un serveur de commande et de contrôle (C2) pour déployer une suite complète d’outils malveillants. Cette approche suggère que les motivations vont au-delà du simple vol d’identifiants.

Le serveur C2 permet de contrôler à distance les systèmes compromis, d’exécuter des commandes, d’installer des malwares et de lancer de nouvelles attaques. Les chercheurs craignent que cette faille ne soit utilisée pour installer des backdoors (portes dérobées) et déployer des logiciels espions sur des cibles stratégiques, comme des infrastructures critiques ou des institutions financières.

« Cela ne ressemble pas à une simple campagne d’espionnage économique », a ajouté un chercheur de Cisco Talos. « L’ampleur des outils utilisés et la persistance démontrée par les attaquants laissent penser à une opération à caractère géopolitique. »

Une attaque documentée depuis plusieurs mois

La vulnérabilité CVE-2024-4577 avait déjà été signalée en août 2024 par des chercheurs de Symantec, après avoir été exploitée contre une université de Taiwan. Peu de temps après la publication du correctif, les attaquants avaient testé la faille contre plusieurs cibles en Asie, avant d’étendre leurs opérations à une échelle mondiale.

GreyNoise a également constaté une augmentation notable du trafic lié à cette faille à partir de la fin décembre 2024, avec des pics d’activité importants début janvier 2025. Cette chronologie suggère que les attaquants ont pu peaufiner leurs outils et leurs méthodes avant de lancer une campagne d’envergure mondiale.

L’appel à une action immédiate

Face à cette menace croissante, GreyNoise et Cisco Talos appellent les entreprises et les administrateurs système à une mise à jour immédiate de leurs serveurs PHP.

« Les organisations qui utilisent PHP-CGI doivent immédiatement vérifier leur configuration et installer les derniers correctifs de sécurité », a déclaré GreyNoise dans son rapport. « Le temps presse : chaque heure qui passe sans correction augmente le risque d’une compromission. »

Les chercheurs recommandent également une surveillance renforcée du trafic réseau pour détecter les comportements suspects associés à l’exploitation de CVE-2024-4577. La mise en place de pare-feu et de systèmes de détection d’intrusion (IDS) pourrait également permettre de contenir la menace.

Cisco Talos a également suggéré que les entreprises désactivent la configuration PHP-CGI si elle n’est pas strictement nécessaire, une mesure qui pourrait réduire considérablement la surface d’attaque.

Une faille symptomatique de la fragilité du web

Ce nouvel incident met une fois de plus en lumière la fragilité des infrastructures web face à des menaces sophistiquées. Le langage PHP, créé il y a près de trois décennies, est l’un des piliers du développement web, mais il est aussi une cible privilégiée en raison de son adoption massive et de la complexité de sa gestion.

Pour les experts, cette vulnérabilité souligne le besoin urgent de renforcer les pratiques de sécurité autour des technologies web historiques. Si la faille CVE-2024-4577 est corrigée rapidement, la menace pourrait être contenue. Dans le cas contraire, elle pourrait devenir le point de départ d’une vague d’attaques sans précédent.

Face à une exploitation déjà mondiale, une action rapide s’impose. Les défenseurs de la cybersécurité sont désormais engagés dans une véritable course contre la montre pour éviter que cette vulnérabilité ne soit utilisée dans des attaques de grande ampleur.